Autenticación NTLM

También conocido como: NTLM, NT LAN Manager

Protocolo Windows heredado de autenticación por reto-respuesta que prueba la identidad a partir del hash de la contraseña, hoy considerado débil.

NTLM (NT LAN Manager) es una familia de protocolos de autenticación de Microsoft diseñados para redes Windows antes de que Kerberos se impusiera. Utiliza un intercambio reto-respuesta basado en el hash NT del usuario, sin transmitir nunca la contraseña en claro. Aunque sigue empleándose como alternativa cuando Kerberos no está disponible o en escenarios de grupo de trabajo, NTLM es vulnerable a ataques de relé (NTLM Relay), pass-the-hash, fuerza bruta sobre contraseñas débiles y crackeo offline de hashes capturados. Microsoft lo considera ya legado y está deshabilitando progresivamente NTLMv1 y reduciendo la dependencia de NTLMv2 mediante firma SMB, channel binding, Extended Protection for Authentication y configuraciones sólo Kerberos.

Ejemplos

Un atacante captura hashes NTLMv2 con un servidor SMB malicioso y los rompe offline con hashcat.
Relé NTLM a través de una sesión SMB sin firma para autenticarse contra un controlador de dominio.

Autenticación NTLM

Ejemplos

Términos relacionados

Kerberos

Active Directory

Autenticación

Password

Ataque con tablas rainbow

Ladrón de credenciales

Definición

Ejemplos

Términos relacionados

Kerberos

Active Directory

Autenticación

Password

Ataque con tablas rainbow

Ladrón de credenciales